نفوذ سایبری به سامانه فروش بلیت جشنوارههای آمریکا
به گزارش کارگروه بین الملل خبرگزاری سایبربان، این آسیبپذیری کنترل کامل مدیریتی بر پلتفرم فروش بلیت جشنوارههای معروف آمریکایی نظیر EDC، Bonnaroo و Outside Lands را امکانپذیر میکرد.
بر اساس این گزارش، «یان کارول»، محقق حوزه امنیت، در جریان بررسی فنی متوجه شد که ترافیک فروش بلیت اغلب جشنوارههای بزرگ از دامنههای قدیمی یکسان عبور میکند.
وی با انجام آزمایشات فازینگ روی رابط برنامهنویسی (API)، دریافت که مسیرهای حاوی کلمه «device» در این سامانه، فاقد هرگونه احراز هویت بوده و پارامتر «deviceUID» مستقیماً بدون پالایش در کوئریهای خام پایگاه داده قرار میگیرد که این امر، وجود حفره تزریق اسکیوال (SQL Injection) را تأیید کرد.
نکته قابل توجه اینکه این اندپوینت در پشت دیواره آتش برنامههای وب (WAF) آمازون محافظت میشد و ابزارهای متداول نفوذ مانند sqlmap در شناسایی آن ناکام مانده بودند.
اما محقق با واگذاری مسئله به مدل «اپوس» از مجموعه هوش مصنوعی کلاود (Claude Code)، موفق شد راهکار دور زدن این سد امنیتی را بیابد.
مدل هوش مصنوعی تشخیص داد که دیواره آتش صرفاً لایه بیرونی ورودی را بررسی میکند؛ از این رو، محقق با قرار دادن محمولههای حمله درون یک زیرپرسوجوی تودرتو، موفق به عبور از آن شد.
از آنجایی که اندپوینت خروجی مستقیم کوئریها را برنمیگرداند، مدل کلاود با طراحی یک حمله تزریق اسکیوال کور مبتنی بر بولی (Boolean-based blind SQL injection) و استفاده از یک ترفند خاص در پایگاه داده MySQL، شرایطی ایجاد کرد که پاسخ سرور بین دو نام دستگاه واقعی در نوسان بود و به این ترتیب، امکان استخراج بیتبهبیت اطلاعات حساس فراهم آمد.
بررسیها نشان داد که پایگاه داده این سامانه شامل بیش از ۵۰۰ جدول مختلف با اطلاعاتی نظیر ایمیل، کدهای دسترسی، توکنهای احرازهویت، مجوزهای کارکنان و سوابق مشتریان است.
محقق با بهرهگیری از یک توکن فعال در جدول بازنشانی رمزعبور، بدون نیاز به دانستن کلمه عبور، حساب مدیریتی یکی از ادمینها را تصاحب کرد و به تمام بخشهای مرتبط با موجودی، قیمتگذاری، سیستمهای تسویهحساب و صادرات بلیت دسترسی کامل یافت.
با این سطح از دسترسی، یک مهاجم بالقوه قادر به صدور نامحدود بلیتهای رایگان، جستجوی بیرویه در پایگاه سفارشات مشتریان (که طی یک آزمایش، هزاران رکورد را نمایش داد) و بازنشانی رمزعبور حسابهای کاربران و کارکنان در کل پلتفرم خواهد بود.
محقق تأکید کرده که صرفاً به اثبات دسترسی در سطح مدیریتی اکتفا کرده و از خروج انبوه دادهها خودداری نموده است.
گفتنی است که شرکت فرانت گیت تیکت و لایو نیشن هیچ تماس امنیتی عمومی برای گزارش موارد نقص نداشتند و محقق ناچار به حدس آدرس ایمیل برای افشای مسئولانه شد.
به گفته منابع، این شرکت به سرعت اقدام به رفع حفره کرده و وعده راهاندازی برنامه پاداش کشف باگ (بگ بانتی) را داده است.
این رویداد نشاندهنده روند صعودی بهرهگیری از هوش مصنوعی در کشف آسیبپذیریهای امنیتی است؛ به گونهای که مدلهای زبانی بزرگ میتوانند به صورت خودکار منطق دیوارههای آتش را مهندسی معکوس کرده و حملات چندمرحلهای پیچیده را با حداقل راهنمایی انسانی طراحی کنند.
کارشناسان نسبت به آسیبپذیری زیرساختهای قدیمی فروش بلیت که همزمان با فروش آنلاین و عملیات فیزیکی صندوقها در ارتباط هستند، هشدار داده و تأکید میکنند که با توجه به حجم عظیم دادههای شخصی و مالی در این سامانهها، آنها به اهداف اصلی حملات سایبری تبدیل شدهاند.